Ledningsstrategier för nätbaserade hot 2012-06-05

Ledningsstrategier för nätbaserade hot 2012-06-05

Innehåll Kända dataintrång Verizon breach report 2008-2012 Risk, Scope och Strategi Vad ska man göra?

You never reach greatness if you don t take risks! Sten Lannerström Knowit Secure Erfarenhet 30+ år med IT 15+ år med IS/IT-säkerhet Älskar Min familj Alpin skidåkning Att göra ett bra jobb

Intrångshistorik Före 2000 Robert Morris, Morris Worm, intrång lite överallt, skyddstillsyn 3 år + böter 10.000$ Kevin Mitnick, riktat mot huvudsakligen telecombransch, bedrägeri i olika former, fängelse 4 år En Hacker i systemet, d.v.s. Markus Hess, riktat mot militära anläggningar i USA, spionage, fängelse 3 år Intrång riktat mot Citibank av Vladimir Levin, bedrägeri och stöld, fängelse 3 år + skadestånd till Citibank 240.015$ 2000-2010 Adrian Lamo, riktat mot bl.a. New York Times, MS, Yahoo & MCI WorldCom, 6 mån husarrest + 65.000$ UFO-intresserade Gary McKinnon, riktat mot försvarsanläggningar i USA, riskerar 60 års fängelse i USA Albert Gonzalez, riktat mot TJX m.fl stöld av kreditkortsinformation, fängelse 20 år Arbetssökande Csaba Richter, riktat mot Ericsson, fängelse 3 år 2010 och framåt Antisec, intrång i syfte att stoppa kommersialisering kring intrångsteknik LulzSec, riktat mot Sony, flera personer gripna men ingen rättegång Anonymous, intrång och DoS m syfte att arbeta mot internet censur och för frihet att sprida digital info. Stuxnet, avancerad mask/trojan riktad särskilt mot Siemens processtyrsystem för Irans urananrikning Dataintrång hos RSA som exempelvis även påverkar Lockheed Martin

RSA released this illustration that shows step-by-step how it was attacked. Attack mot RSA Exploited a hole in Adobe Flash Transfer "many" password-protected RAR files over FTP Performed privilege escalation

Verizon breach reports 2008-2012 Tydliga trender kring dataintrång? Intrång till komprometterat data Komprometterat data till upptäckt Upptäckt till åtgärder Upp till 24tim Mer än 1 dygn Upp till 24tim Mer än 1 dygn Upp till 24tim Mer än 1 dygn 2008 47 53 3 97 10 90 2009 48 52 8 92 6 94 2010 39 61 11 89 13 87 2011 47 53 4 96 11 89 2012 60 40 2 98 10 90

Verizon breach reports 2008-2012 Tydliga trender kring dataintrång? Intrång till komprometterat data Komprometterat data till upptäckt Upptäckt till åtgärder Upp till 24tim Mer än 1 dygn Upp till 24tim Mer än 1 dygn Upp till 24tim Mer än 1 dygn 2008 47 53 3 97 10 90 2009 48 52 8 92 6 94 2010 39 61 11 89 13 87 2011 47 53 4 96 11 89 2012 60 40 2 98 10 90

Tydliga trender kring dataintrång?

Hur vet man vilken skyddsnivå man ska välja om man inte vet vilka risker som finns?

Basic Elements of Risk The correlated combination of Impact and Probability The negative effect a threat may have on an asset According to a chosen company scale Risk The assessed likelihood for the combination of vulnerability and exploit for a given asset According to a chosen company scale Primary Processes/Activities Information Entities Supporting IT System Application Network Site Personnel Organization Business Impact Probability Asset Threat Vulnerability Exploit Åtgärder Something causing Financial loss / Loss of business performance Loss of goodwill / Bad reputation Legal violation / Environmental or Personnel safety Breach of confidentiality / Loss of integrity Lack of control that is linked with an asset and as a result might open up for an exploit The potential to succeed and take advantage of a vulnerability linked with an asset Automatiseras

Dataintrång Kräver ledningsstrategi? Dataintrång drabbar utrustning med dåligt skydd Låg säkerhetsbudget, med sämre patchning, sämre behörighetskontroll och sällan ordentligt testade Tid för upptäckt är ofta lång Dagar, veckor och månader Vid intrång hinns det med att göra mycket vid svag skyddsnivå Med korrekta identiteter kan data hämtas/modifieras i verksamhetskritiska system Vilka system kan det typiskt handla om? Icke verksamhetskritiska från början, men de allvarliga konsekvenserna sker i väsentliga system Ofta utanför scope sett ur ett Ledningssystemsperspektiv (ISMS) och utifrån ett enskilt system sett svårmotiverat att höja säkerhet En ledningsfråga Samordnad skyddsnivå inom vissa områden för ALLA system Strategisk fråga att bestämma nivå och metod

Risk i olika nivåer Strategisk risk, 3-5 år Rapportering Styrning Taktisk risk, 1-12 månader Operationell risk, dagar och veckor

När är risken störst? Utökning av tillgångar Ny utrustning Ny verksamhet Nya processer Ökad hotbild Känslig bransch som stöter grupperingar av människor Vid stora förändringar i verksamheten I medialt blåsväder Ökad utnyttjande När Ni är off-guard t.ex. i samband med egen/annans katastrof eller medial skandal När nya enkla verktyg sprids När nya sårbarheter uppdagas Ökad sårbarhet När Ni har bråttom att införa ett temporärt system När Ni är dåligt skyddade via system utanför LIS omfattning

Vad ska man göra? Arbeta riskorienterat Utifrån tillgångar eller utifrån roller om rollbeskrivningar finns En strategiskt vald lägsta basnivå för alla system Ägarskap, utr. placering, malware, patchning, behörighetskontroll och incidentrapportering Kanske bara en regelbunden monitorering av system utanför scope Mota Olle i grind Det finns tid att monitorera eftersom väsentliga intrång kan ta tid Externa hot är störst, men kan självklart assisteras från insidan Identifiera portscanning som även initieras inne på egna nätet Identifiera felinloggningar i serier (typ en/två som inte spärrar) Öva på att hantera incidenter Säkerhetsmedvetande/Säkerhetskultur Ta hjälp! PCI/DSS, penetrationstest, konfigureringar Riskantering och (decentraliserad) styrning av IS/IT säkerhet

Arbeta riskorienterat! Fånga risker på alla nivåer, operativt, taktiskt och strategiskt samt styr med informerade beslut. Utse ett övergripande strategiskt ansvar för en grundläggande basnivå för säkerhet som även inkluderar de system som inte ingår i den huvudsakliga omfattningen av verksamhetskritiska system.

Sten Lannerström sten.lannerstrom@knowit.se